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(57) Abstract 

The problem associated with data security during payment transactions using smart cards lies in the processes involved in loading 
input data into an algorithm during authentication. According to the invention, the security of the withdrawal and charging data is improved 
by dividing the data blocks and switching an additional feedback to the downstream counters on and off at pre-selected times (cycles). The 
invention can be used in all authentication processes involving smart cards. 

(57) Zusammenfassung 

Die Problematik der Datensicherheit beim Zahlungsverkehr mit Hilfe von Chipkarten liegt in den Vorgiingen beim Laden von 
Inputdaten in einen Algorithmus bei der Authentikation begrUndet. Mit Hilfe einer Aufteilung der Datenblocke und der Ein- und Ausschaltung 
einer zusatzlichen Rtickkopplung nach den nachgeschalteten Zahlern zu vorgewahlten Zeiten (Takten) wird die Sicherheit der Ab- und 
Aufbuchungs-Daten verbessert. Die Anwendung der Erfindung ist bei alien Authentikationsvorgangen in Verbindung mit Chipkarten 
mdglich. 




LEDIGLICH ZUR INFORMATION 



Codes zur Identifiziening von PCT-Vertragsstaaten auf den Kopfbdgen der Schriften, die internationale Anmeldungen gemass dem 
PCT veroffentlichen. 



AL 


Albanien 


ES 


Spanien 


LS 


Lesotho 


SI 


Slowenien 


AM 


Armenien 


FI 


Finnland 


LT 


Litauen 


SK 


Slowakei 


AT 


Osterreich 


FR 


Frankreich 


LU 


Luxemburg 


SN 


Senegal 


AU 


Australien 


GA 


Gabun 


LV 


Lettland 


sz 


Swasiland 


AZ 


Aserbaidschan 


GB 


Vereinigtes Konigreich 


MC 


Monaco 


TD 


Tschad 


BA 


Bosnien-Herzegowina 


GE 


Georgien 


MD 


Republik Moldau 


TG 


Togo 


BB 


Barbados 


GH 


Ghana 


MG 


Madagaskar 


TJ 


Tadschikistan 


BE 


Belgien 


GN 


Guinea 


MK 


Die ehemalige jugoslawische 


TM 


Turkmenistan 


BF 


Burkina Faso 


GR 


Griec hen land 




Republik Mazedonien 


TR 


TQrkei 


BG 


Butgarien 


HU 


Ungarn 


ML 


Mali 


TT 


Trinidad und Tobago 


BJ 


Benin 


IE 


Irland 


MN 


Mongolei 


UA 


Ukraine 


BR 


Brasilien 


IL 


Israel 


MR 


Mauretanien 


UG 


Uganda 


BY 


Belarus 


IS 


Island 


MW 


Malawi 


US 


Veretnigte Staaten von 


CA 


Kanada 


IT 


Italien 


MX 


Mexiko 




Amerika 


CF 


Zentralafrikanische Republik 


JP 


Japan 


NE 


Niger 


uz 


Usbekistan 


CG 


Kongo** 


KE 


Kenia 


NL 


Niederlande 


VN 


Vietnam 


CH 


Schweiz 


KG 


Kirgisistan 


NO 


Norwegen 


YU 


Jugoslawicn 


CI 


C6te d'lvoire 


KP 


Demokratische Volksrepublik 


NZ 


Neuseeland 


ZW 


Zimbabwe 


CM 


Kamerun 




Korea 


PL 


Polen 






CN 


China 


KR 


Republik Korea 


FT 


Portugal 






CU 


Kuba 


KZ 


Kasachstan 


RO 


Rum aiiien 






CZ 


Tschechische Republik 


LC 


St, Lucia 


RU 


Russische Federation 






DE 


Deutschland 


LI 


Liechtenstein 


SD 


Sudan 






DK 


Danemark 


LK 


Sri Lanka 


SE 


Schweden 






EE 


Estland 


LR 


Liberia 


SG 


Singapur 







WO 97/46983 PCT7EP97/02894 



Verfahren und Vorrichtung zum Laden von Inputdaten in einen 
Algorithmus bei der Authentikation 

5 

Beschreibung : 

Die Erfindung bezieht sich auf ein Verfahren, wie im Ober- 
begriff des Patentanspruch 1 naher beschrieben und auf eine 

10 Vorrichtung der im Oberbegriff des Patentanspruch 9 defi- 
nierten Art. Verschiedene bekannte Verfahren dieser Art 
werden fur Chipkarten mit Borsenf unkt ion in mehreren Vari- 
anten verwendet und bei den Vorrichtungen kann u. a. von 
Chipschal tungen entsprechend EP 0 616 429 Al ausgegangen 

15 werden. 

Verfahren der hier gemeinten Art sind z. B. aus ETSI 
D/EN/TE 090114, Terminal Equipment (TE) Requirements for IC 
cards and terminals for telecommunication use, Part 4 - 
20 Payment methods Version 4 v. 07. Febr . 1992 und aus der 
Europaischen Patent anmeldung 0 605 070 bekannt. 

Neben Telef onkart en mit definiertem Anf angsguthaben als 
Zahlungsmittel fiir Kartentelef one sind auch "elektronische 

25 Geldborsen" nach dem gleichen Prinzip als Zahlungsmittel 
fiir begrenzte Betrage von zunehmender Bedeutung. Fur den 
Anwendungsf all "Bezahlen mit der Chipkarte" ist ein 
entsprechendes Kartenlesermodul mit einem Sicherheitsmodul 
SM zur Karten- und Guthabenpruf ung in den Automaten 

30 gekoppelt. 

Aus der EP 0 605 070 A2 ist auch ein Verfahren zum Transfe- 
rieren von Buchgeldbetragen auf und von Chipkarten bekannt, 
bei dem uberschreibbare Speicherpla t ze einer Chipkarte auf- 
35 geteilt werden in wenigstens zwei Speicherplat ze , von denen 
einer als "debi torisch" , also "elektronische Geldborse" ge- 
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nutzt wird, so wie die Telef onkarten, und der andere "kre- 
ditorisch" im Sinne einer Kreditkarte, Unter den fur Kre- 
ditkarten ublichen gesicherten Bedingungen ist es vorgese- 
hen, Geldbetrage zwischen den Bereichen zu transferieren, 
5 um die "elektronische Geldborse" wieder aufzufiillen. 

Zur Vermeidung sowohi der Gefahren unbefugter Zugriffe auf 
die Kassenautomaten und deren fest im Gerat integrierte 
Sicherheitsmodule, als auch der Notwendigkei t von besonders 

10 geschutzten und deshalb fur den Betreiber teuren Standlei- 
tungen wurde mit (P95114) ein Verfahren vorgeschlagen, bei 
dem vom Betreiber des Kassenautomaten vor den Kassiervor- 
gangen ein Sicherhei tsmodul mit Chipkar tenf unkt ionen in die 
Kassenautomaten eingesteckt wird und bei jedem Kassiervor- 

15 gang, bei dem ein Kartennutzer seine Chipkarte mit Borsen- 
funktion in einen Kassenautomaten eingesteckt hat, zuerst 
Datenbereiche der Chipkarte fur eine Plausibilitatskontrol- 
le und die Prlifung des Res tguthabens ausgelesen, danach 
eine Authentif ikation mit dem Sicherhei tsmodul und eine 

20 ein-/mehrmalige Akzeptanzentscheidung durchgefuhrt werden 

und bei dem zuletzt der fallige bzw. eingegebene Geldbetrag 
aus der Chipkarte des Kar tennut zers mit Hilfe einer Sicher- 
heitsf unktion ab- und einem Summenzahler fur Geldbetrage im 
Sicherheitsmodul aufgebucht werden und bei dem nach den 

25 Kassiervorgangen der Zahlerstand des Sicherhei tsmoduls mit 
Chipkartenfunktionen an eine Abrechnungszentrale iibergeben 
wird . 

Aufgabe der Erfindung ist es, die Sicherheit der Kassenau- 
30 tomaten fur die " elektronischen Geldborsen" gegenuber 

Manipulationen und Fehlf unktionen noch weiter zu erhohen. 

Diese Aufgabe lost ein Verfahren entsprechend dem Kennzei- 
chen des Patentanspruchs 1. 
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Vorteilhafte Aus- bzw. Wei terbildungsmoglichkei ten dieses 
Verfahrens sind in den Kennzeichen der Unt eransprliche 2 bis 
8 auf gef uhrt . 



5 Im Kennzeichen des Patentanspruchs 9 ist eine fur die 

Anwendung des erwahnten Verfahrens geeignete Vorrichtung 
beschrieben . 

Die Kennzeichen der Unteranspriiche 10 bis 14 nennen vor- 
10 teilhafte Aus- bzw. Weiterbildungsmoglichkeiten dieser 
Vorrichtungen fur verschiedene Anwendungen . 

Die Erfindung ist mit ihren Wirkungen, Vorteilen und Anwen- 
dungsmoglichkeiten in den nachf olgenden Aus f uhrungsbeispie- 
15 len naher beschrieben. 

Authentikationsalgorithmen werden i. A. zur sicheren Iden- 
tifizierung verwendet. In Authent i kat ionsver f ahren gehen, 
neben der Identitat von Chipkarten und Personen sowie evtl. 

20 eines Sicherhei tsmoduls SM, oft noch weitere Daten ein, 
deren Korrektheit zusatzlich gesichert werden soil. Ein 
Authenti kat ionsver f ahren kann zum Beispiel auch auf nicht 
geheime Kartendaten D zusammen mit einem geheimen SchlUssel 
K und einer Zufallszahl Z angewendet werden. Bei den Chip- 

25 karten mit Borsenf unkt ion wird fur die Ab- und Aufbuchungen 
sicherheitshalber je eine getrennte Sicherhei tsfunktion 
verwendet, die jeweils mit einer kryptograf ischen Prufsumme 
ausgelesen wird. 

30 Mit dem Verfahren nach der Erfindung konnen die Ab- und 

Aufbuchungen mit einem kryptograf ischen Token durchgefiihrt 
werden, wobei vorausgeset z t wird, dafl die Authentikation 
und die kryptograf ische Prufsumme uber den Zahlerstand mit 
einem Challenge/Response-Verf ahren durchgefiihrt werden. 

35 Dann kann durch ein einzelnes Challenge/Response-Verf ahren, 
bei dem nur eine Zufallszahl von dem Sicherhei tsmodul SM 
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geliefert wird und". von der Chipkarte nur eine Response 
berechnet wird, sowohl die Identitat (Authent i kat ion) als 
auch der interne Zahlerstand gegentiber dem Sicherhei tsmodul 
SM bewiesen werden. 

Dies kann dadurch erreicht werden, daft die variablen In- 
putdaten, wie der Zahlerstand und die Zufallszahl, intern 
jeweils zunachst mit "keyed Hashf unctions " = MAC Funktionen 
bearbeitet werden. Dabei wird als Schlussel der kartenindi- 
viduelle geheime Schlussel . der Chipkarte verwendet. Die 
beiden aus Zahlerstand und Zufallszahl gewonnenen Token 
konnen dann in -moglicherweise kryptograf isch unsicherer 
Art - z. B. durch XOR oder ein linear ruckgekoppel tes 
Schieberegister miteinander verknupft werden und hiernach 
mit einer kryptograf ischen Funktion ausreichender Starke 
integritatsgeschiit zt ausgegeben werden . 

Diese Ver f ahrensweise ist fur die Praxis dadurch interes- 
sant, daft die nur intern verwendeten keyed Hashf unctions 
keinen besonders hohen Anspruchen hinsichtlich ihrer Si- 
che'rheit genugen miissen und relativ einfache Funktionen 
anwendbar sind, weil die Ergebnisse dieser Funktionen nicht 
aus der Chipkarte nach aulien gefuhrt werden. Dennoch werden 
damit Datenmanipulat ionen wirksam verhindert. 

Das Ausf iihrungsbeispiel der Erfindung geht von einem linear 
riickgekoppelten Schieberegister LFSR mit zusatzlicher 
nichtlinearer Funktion und nachgeschalteten Zahlern aus: 

0. Zusatzliche Ruckkopplungen nach den nachgeschalteten 
Zahlern in das linear ruckgekoppel te Schieberegister 
LFSR werden geschaltet. 

L. Es werden Inputdaten, bestehend aus den nicht geheimen 
Kartendaten D und dem geheimen Schlussel K, in das 
linear riickgekoppelten Schieberegister LFSR eingelesen, 
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wahrend sowohl "die Ruckkopplung des linear 
ruckgekoppel ten Schieberegis ters LFSR, als auch die 
zusat zliche ( n ) Ruckkopplung ( en ) aktiv sind. 

2. Es wird eine gewisse Anzahl von Takten wei tergeschal te t , 
ohne dali zusatzliche Inputdaten eingelesen werden. 

3. Es werden Inputdaten, bestehend aus der Zufallszahl R, 
eingelesen, wahrend sowohl die Ruckkopplung des LFSR, 
als auch die zusatzliche Ruckkopplung ( en) aktiv sind. 

4. Es werden die zusatzlichen Ruckkopplungen ausgeschal te t 
und ggf. die Zahler geandert. 

5. Es wird eine gewisse Anzahl von Takten wei tergeschal tet 
und wahrend dieser Takte gemaft der aktuellen Zahler- 
stande Outputbits erzeugt. 
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Patentanspruche : 

1. Verfahren zum Laden von Inputdaten in einen Algorithmus 
bei der Authentikation zwischen Chipkarten mit Borsen- 

10 funktion und einem Sicherheitsmodul , bei dem der Kar- 

tennutzer iiber ein gespeicher tes Guthaben verfligen kann 
und bei dem bei jedem Kassiervorgang der erf order liche , 
bzw. der voiti Kartennutzer eingegebene Geldbetrag aus 
der Chipkarte des Kar t ennut zers mit Hilfe einer Sicher- 

15 hei tsf unktion abgebucht und die Geldbetrage in einem 

Summenzahler fur Geldbetrage des Sicherheit smoduls 
aufaddiert und gespeichert werden, und bei dem fur den 
Authentikat ions algorithmus ein linear rlickgekoppeltes 
Schieberegister verwendet wird, dessen nichtlineare 

20 Funktionen in Verbindung mit nachgeschal teten Zahlern 

kryptograf isch verstarkt wird, und bei dem Inputdaten, 
wie z. B. eine Zufallszahl, ein geheimer SchlUssel und 
nicht geheime Kartendaten, in diesen Algorithmus 
eingehen, dadurch gekennzeichnet, 

25 daft die Inputdaten in mehrere Blocke von Daten aufge- 

teilt werden und daft wahrend des Ladens der Blocke in 
das linear ruckgekoppel te Schieberegister eine zusatz- 
liche weitere Riickkopplung nach den nachgeschalteten 
Zahler in das Schieberegister eingefuhrt und nach einer 

30 vorgegebenen Anzahl von Taktschr i tten abgeschaltet 

wird . 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daft 
_ die Kartendaten D mit einem geheimen SchlUssel K als 
35 ein erster Block und eine Zufallszahl R als ein weite- 

rer Block eingefuhrt werden. 
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3. Verfahren nach Anspruch 1 und 2, dadurch gekennzeich- 
net, daft wahrend der Ladephase der Inputdaten andere 
Zahlerstande eingesetzt werden, als bei der darauf- 
folgenden Phase nach Einladen der Inputdaten zur 
Berechnung des Authentikationstokens . 

4. Verfahren nach Anspruch 1 und 2, dadurch gekennzeich- 
net, daft der erste nachgeschal te te Zahler auf 1 zahlt. 

5. Verfahren nach Anspruch 1 und 2, dadurch gekennzeich- 
net, daft die Zahler und die Anzahl der auszufiihrenden 
Takte genau so gewahlt werden, daft das Authentika- 
tionstoken nach einer durch andere Sys tembedingungen 
fest vorgegebenen Anzahl von Takten errechnet wird. 

6. Verfahren nach einem der Anspriiche 1 bis 5, dadurch 
gekennzeichnet , daft die Ausgabe von Bits nach Einladen 
aller Inputdaten beginnt. 

7. Verfahren nach einem der Anspruche 1 bis 6, dadurch 
gekennzeichnet , da/3 zwischen dem Einladen der Blocke 
aus Anspruch 1 unter Beibehaltung der zusatzlichen 
Ruckkopplung die gesamte Schaltung einige Schritte 
weiter getaktet wird, ohne daft Inputdaten geladen 
werden und bevor Bits ausgegeben werden. 

8. Verfahren nach einem der Anspruche 1 bis 6, dadurch 
gekennzeichnet, daft zwischen dem Einladen der Blocke 
aus Anspruch 1 nach Abschalten der zusatzlichen Ruck- 
kopplung die gesamte Schaltung eine bestimmte Anzahl 
von Schritten weiter getaktet wird, ohne daft Inputdaten 
geladen werden und bevor Bits ausgegeben werden. 

9. Vorrichtung zum Laden von Inputdaten in einen Algo- 
rithmus bei der Authentikation unter Verwendung einer 
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kryptograf ischen MAC Funktion, bestehend aus einem 
linear rtickgekoppel ten Schieberegis ter mi t einer 
nichtlinearen "Feed Forward" Funktion, die aus dem 
Schieberegis ter abgreift und uber einen Zahler den 
5 Output des Schieberegisters beeinfluflt, dem ein weite- 

rer Zahler nachgeschal tet ist, dadurch g e - 
kennzeichnet, dafl die aus dem linear riick- 
gekoppelten Schieberegister aufgebaute Schaltung mit 
nachgeschal teten Zahlern zur Verwendung fiir den 
10 Authentikationsalgor i thmus durch eine zusatzliche 

abschaltbare ni cht linear e Rue kkopp lung kryptograf isch 
verstarkt ist. 



10 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
15 dai3 die zusatzliche Ruckkopplung nach dem ersten nach- 

geschalteten Zahler vor dem Latch abgegriffen ist. 

11 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
daii die zusatzliche Ruckkopplung aus dem Latch nach dem 

20 ersten nachgeschal teten Zahler abgegriffen ist. 

12 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
daii die zusatzliche Ruckkopplung nach dem zweiten 
nachgeschal teten Zahler abgegriffen ist. 

25 

13 . Vorrichtung nach Anspruch 9 , dadurch gekennzeichnet, 
daJ3 die zusatzliche Ruckkopplung als eine XOR-Summe der 
Abgriffe nach dem ersten nachgeschal teten Zahler vor 
dem Latch, aus dem Latch nach dem ersten nachgeschalte- 

30 ten Zahler und nach dem zweiten nachgeschal teten Zahler 

ausgebildet ist. 

14 . Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, \ 
dafi die Zahler aufgeteilt bzw. verkleinert sind. ,1 
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(57) Abstract 



The problem associated with data security during payment transactions using smart cards lies in the processes involved in loading 
input data into an algorithm during authentication. According to the invention, the security of the withdrawal and charging data is improved 
by dividing the data blocks and switching an additional feedback to the downstream counters on and off at pre-selected times (cycles). The 
invention can be used in all authentication processes involving smart cards. 

(57) Zusammenfassung 

Die Problematik der Datensicherheit beim Zahlungsverkehr mit Hilfe von Chipkarten liegt in den Vorgangen beim Laden von 
Inputdaten in einen Algorithmus bei der Authentikation begrundet. Mit Hilfe einer Aufteilung der Datenblocke und der Ein- und Ausschaltung 
einer zusatzlichen RUckkopplung nach den nachgeschalteten Zahlem zu vorgewahlten Zeiten (Takten) wird die Sicherheit der Ab- und 
Aufbuchungs-Daten verbessert. Die Anwendung der Erflndung ist bei alien Authentikationsvorgangen in Verbindung mit Chipkarten 
moglich. 
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